Salut,
 
Quel est le minimum à faire pour proteger son serveur de prod linux ?
 
Je sais que la question est bête mais catapulté ingénieur réseau/system/bd, je suis responsable de tout ce que touche de près ou de loin à l'informatique de notre boite.  
 
Et là mon boss grise parce qu'il s'est fait foutre de sa gueule par son super pote le cador de la sécu informatique.  "C pas bien d'avoir tout sur le même serveur, les hackers (de l'espace) peuvent tout faire, alala les branque" and co.  
 
Et ça retombe sur bibi. Alors oui, en plus des développements web, db et des tratements logistiques, je n'ai pas trop le temps de reinstaller le serveur à chaque fois qu'une faille est découverte ou qu'une nouvelle distrib sort. On a a peine de quoi se payer un serveur dédié céléron et faudrait maintenant partir sur des serveur exclusif web et bd pour gerer nos 4 connections mensuels.
 
Je peux pas vraiment m'inproviser ingénieur sécu en 2 semaines ou passer des heures à la recherche d'un script kiddi à tester sur nous :-\
 
Comment faire rapidement et gratuitement un audit de notre site ? Existe-t-il des outils, si possible windows, qui permettent d'avoir une idée sur la vulnérabilité d'un serveur linux ? Que je puisse faire la part entre la grosse porte ouverte à fermer et la faille qui permet éventuellement un ddos si Mitnick s'interesse à nous ?
 
Pour l'instant je surveille juste les warezeux avec mrtg au cas où mais je reste confiant sur ce qu'on a, même si je vous filerez par l'adresse de ce serveur  

1) fait le point sur tes users et demande leur d'utiliser un mot de passe pas facile
à casser (genre date de naissance, le-prenom-de-ma-maitresse... enfin tout ce qui est cassable
par un mot du dico)
2) mettre a jour le service apache régulierement
3) delocaliser tes bases de données du frontal web et autoriser une seule carte réseau
à faire des requetes sur tes bdd (si possible)
4) fermer tous les services que tes users n'utiliseraient pas
5) un firewall/routeur-modem + portsentry sur ton frontal web
6) et mettre en place un logwatch et le lire régulierement.
7) faire une sauvegarde saine de ton systeme (juste après l'installation).
 
cela ne garanti pas l'invulnerabilité totale, mais deja ça va faire ralentir
le 1er venu.
 
invulnerabilité totale = ne pas proposer de service web

Merci pour ta réponse.
Je vais regarder du côté de logwatch. C'est vrai que déja, rien que pour les tentative de connection je ne sais même pas où regarder.
 
Le truc c'est que pour le hardware, je crois qu'on va encore se contenté d'un seul serveur dédié loué. Et je n'ai la main dessus qu'en ssh.
C'est une fedora core 1 updaté au max. Tout ce qui est infrastructure, routeur, firewall je ne peut qu'au mieux faire confiance à l'hebergeur ( amen ... )

apt-get install chkrootkit ... le problème qd chkrootkit détecte un truc c'est un peu tar

Merci pour chkrootkit. A priori il n'a rien trouvé

Si t'as tout sur la meme machine, tu peux faire des chroots aussi pour securiser les services independamments les uns des autres
Au boulot

installe webmin  
cela te creer une interface web qui te permet de tout gerer (ou tout foutre en l'air) en quelques clics
de souris.
www.webmin.org
 

Si tu as le temps de lire un petit peu, tu devrais jeter un oeil à ces documents, et si tu es très occupé, il y a même une synthèse sous forme de check list ! C'est pas mal foutus mais ... en Anglais.
http://www.cert.org/tech_tips/unix [...] st2.0.html
 
Bonne lecture

et si tu as le temps de lire encore plus et comme tu as l'air sous debian, un indispensable :
 
http://www.debian.org/doc/manuals/ [...] ian-howto/

je ne suis pas certain qu'installer webmin entre réellement dans le cadre d'une politique de sécurité
(au hasard derniere faille webmin   )

il n'est pas obliger de laisser webmin tourner en permanence vu qu'il a un acces ssh.  
il demarre le service au moment où il a besoin d'effectuer une tache complexe et referme
ensuite avant de partir.  

webmin c'est pourri (c) !

je vois une remarque très constructive la.    

c'est justement dans le cadre d'une tâche complexe qu'il ne devrait surtout pas se servir de webmin .
Un accès ssh est plus que  suffisant pour tout .

ça je n'en disconvient pas  (je vois que les puristes du shell sont de sortie...)
mais pour faire des recherches dans des logs longs de > 5000 lignes c'est un peu plus pratique
que les 32lignes d'une ligne de commande. et tlm ne connais pas "vi" sur le bout
des doigts. la suppresion recursive de répertoire (par exemple) me semble plus securisée
qu'un malencontreux "rm -rf" perdu en ligne de commande dans un pipe long de 3-4lignes.
 
juste ne pas en abuser car comme je l'avais précisé autant on a acces a tout, autant
on peut tout faire foiré en quelques clics...

il ne s'agit pas ici d'être un puriste du shell .
L'auteur du topic cherche un B.A-ba  (pour ne pas le citer ) afin de protéger un serveur de production,s'encombrer d'un utilitaire comme webmin me semble particulièrement  inapproprié dans le cas présent.
Et justement parce que l'on peut tout foirer en quelques clics il faut mieux utiliser a mon avis la ligne de commande ( et un shell moderne comme zsh )
Accessoirement si il débute je le vois mal faire un pipe de 3-4 lignes ...

Pas le temps d'être constructif mais  ici on ne travaille *jamais* avec webmin  
 
Ce truc te fout une merde pas poss dans les fichiers de confs, c'est degeullase ...  
 
Enfin maintenant pour les logs ils existent des outils 10x plus puissant (lyre et perl)

je pense qu'il devrais juger par lui même n'est ce pas? lui même a demandé une solution
autre que le shell ssh.
moi je lui donne aussi la liberté de tester et de choisir si cet outil peut lui convenir ou non.
cela fait plusieurs années que j'utilise webmin pour des taches complementaires au shell sans problème.
le shell c'est bien, mais à moins de connaitre son syteme par coeur, il n'offre pas de vision
globale. il faut rappeler que le temps c'est de l'argent et dans cette optique, il faut trouver
un équilibre-compromis entre temps de gestion d'un systeme et son boulot propre (qui rapporte).
si il passe plus de temps à maintenir son serveur plutot que de bosser sur des projets lucratif,
je pense pas que son boss va être très content.  
 
bref, on veut bien son retour d'experience

yop,  
 
Service maj regulierement.
service sensibles en dmz, si possible mis en cage (chroot)
Firewall  Netscreen , ipfilter ou netfilter. Au choix en fonction des moyens/competences. Router en 1er Bastion, bonne table de routage est un bon prefiltre et l intrus potentiel a plus de mal a voir au dela.  
IDS (Osiris ,samheim, snort ... )
Monitoring reseau . Cacti Nagios ...  
Reduire au max le nombre de service tournant sur chaques machines exposees en zone untrust.
Monitoring Integrite systeme. AIDE ou le vieux Tripwire.
Logs centralises sur un serveur separe.
Rootkit prevention   chkrootkit/rootkithunter.  
 
Ca n a bien sur pas la pretention d etre complet loin de la , de toute facon si il y avait une recette ultime ca se saurait depuis lgts. De plus dans les grandes structures tu a en general une personne charge de la secu info . Et si il y a un domaine ou un service que tu ne sais pas securiser il faut le signaler afin de se former ou alors externaliser.
 
Slts.
Guillaume.

 
Maintenant je dois aussi rendre des compte ici
 
Lol merci pour vos réponses. Il faut encore que je regarde les tutos. Pour webmin, j'étais moyennement chaud de rajouter éventuellement une nouvelle entrée possible mais c'est vrai que si je ne l'active qu'au besoin, le risque est limité.  

n'ai pas peur, on n'a jamais mangé personne  
c'est juste par curiosité, ça peut servir a d'autres

un truc simple pour sécuriser un minimum ssh (en plus du reste), c'est de le changer de port.
 
Ainsi, il sera nettement moins scanné par les bots

Et utiliser l'authentification par clefs
Et avec un mot de passe sur la clef, par pitié